Lic. Sistemas Computacionales Administrativa

MATERIA

AUDITORÍA INFORMÁTICA

UNIVERSIDAD DEL VALLE DE MÉXICO

EL PROCESO DE AUDITORÍA

PREFACIO

La Auditoría de Sistemas de Información (SI) es una parte del proceso general de auditoría, que es uno de los facilitadores de buen gobierno corporativo. Si bien no existe una definición única y universal de auditoría de SI, Ron Weber ha definido (EDP revisión - como se llamaba antes) como "el proceso de recopilación y evaluación de las pruebas para determinar si un sistema informático (sistema de información) Activos salvaguardias, mantiene integridad de los datos, logra las metas organizacionales y consumo efectivos de los recursos de manera eficiente. "1.

Los sistemas de información son el alma de cualquier negocio que dependa de la tecnología. Como en años anteriores, los sistemas informáticos no se limitaban a registrar las operaciones de negocios, ya que en realidad conducen los procesos clave del negocio de la empresa. En tal escenario, los directivos de gestión y de negocios de alto nivel tienen preocupaciones acerca de los sistemas de información. El propósito de la Auditoría de SI es revisar y dar retroalimentación, garantías y sugerencias. Estas preocupaciones pueden agruparse bajo tres amplios conceptos principales:

1. Disponibilidad: ¿Los sistemas de información en los que el negocio depende en gran medida están a disposición de la empresa en todo momento cuando es necesario? ¿Los sistemas están bien protegidos contra todo tipo de daños y desastres?

2. Confidencialidad: ¿La información de los sistemas sólo se comunicará a las personas que tienen la necesidad de verla y usarla y no a otra persona?

3. Integridad: ¿La información proporcionada por los sistemas siempre es precisa, confiable y oportuna? ¿Qué nos asegura de que ninguna modificación no autorizada puede hacer que los datos o el software en los sistemas?

1 Nota del autor: Por supuesto que hay otras preocupaciones que en auditoría se debería examinar, como la eficacia, la eficiencia, rentabilidad, rendimiento de la inversión, la cultura y los temas relacionados. Estos problemas serán abordados en auditoría de Fundamentos de TI en las columnas en los próximos números de la revista en 2002.]

Elementos de la Auditoría de SI

Un sistema de información no sólo es un computador. Los sistemas de información de hoy en día son complejos y tienen muchos componentes que integrar para hacer una solución de negocios. Las garantías sobre un sistema de información se pueden obtener sólo si son evaluados y asegurados todos los componentes. El eslabón más débil es la fuerza total de la cadena, reza el proverbio. Los principales elementos de la auditoría de SI se puede clasificar en términos generales:

1. Revisión Física y ambiental - Esto incluye la seguridad física, alimentación, aire acondicionado, control de humedad y otros factores ambientales.

2. Revisión de la administración del sistema- Esto incluye la revisión de seguridad de los sistemas operativos, sistemas de gestión de bases de datos , todos los procedimientos de administración del sistema y el cumplimiento.

3. Revisión del Software – El software de aplicación de negocios podría ser la nómina, facturación, un sistema de procesamiento de pedidos de clientes basado en la web o un sistema de planificación de recursos empresariales que actualmente dirige el negocio. La revisión de este tipo de software de aplicación incluye control de acceso y las autorizaciones, las validaciones, el error y el manejo de excepciones, flujos de procesos de negocio en el software de aplicación y los controles y procedimientos manuales complementarios. Además, una revisión del ciclo de vida de desarrollo del sistema debe ser completado. .

4. Seguridad de las redes - Revisión de las conexiones internas y externas al sistema, seguridad perimetral, opinión del firewall, las listas de control de acceso del router, escaneo de puertos y detección de intrusiones son algunas de las zonas típicas de la cobertura.

5. Continuidad del negocio - Esto incluye la existencia y mantenimiento de hardware tolerante a fallos y redundantes, los procedimientos de copia de seguridad y almacenamiento, un plan de continuidad del negocio y un plan de recuperación en caso de desastre documentado y probado.

6. Integridad de los datos opinión - El propósito de esto es el escrutinio de los datos en vivo para comprobar la adecuación de los controles y el impacto de las debilidades, según testimonio de cualquiera de las revisiones anteriores. Estas pruebas sustantivas se puede hacer usando software generalizado de auditoría (por ejemplo, técnicas de auditoría asistida por computador).

Todos estos elementos deben ser abordados para presentar a la Gerencia una evaluación clara del sistema. Por ejemplo, el software de aplicación puede estar bien diseñado e implementado con todas las características de seguridad , pero la contraseña de superusuario que por defecto trae el sistema operativo utilizado en el servidor puede no haber sido cambiada nunca, lo que permite a alguien acceder directamente a los archivos de datos. Esta situación anula cualquier garantía de integridad en la aplicación. Del mismo modo, es posible que los firewalls y la seguridad del sistema técnico se hayan implementado muy bien, pero las definiciones de funciones y controles de acceso en el software de la aplicación pueden haber sido tan mal diseñados e implementados que al utilizar sus ID de usuario, los empleados pueden llegar a ver la información crítica y sensible ahora más allá de sus roles.

Es importante entender que cada auditoría puede constar de estos elementos en diferentes medidas, algunos auditorías podrán examinar sólo uno de estos elementos o eliminar algunos de estos elementos de la auditoría. Aunque lo cierto es que hay que hacer una revisión de todo ello, no es obligatorio hacerla para todos ellos en una asignación. El conjunto de habilidades necesarias para cada uno de ellos son diferentes. Los resultados de cada auditoría necesitan ser visto en relación con el otro. Esto permitirá que el auditor y la administración puedan conseguir la visión total de los temas y problemas. Este panorama es crítico.

Enfoque basado en riesgos

Cada organización utiliza una serie de sistemas de información. Puede haber diferentes aplicaciones para diferentes funciones

...